Posted on

DNS-Changer – www.dns-ok.de – Post von der Telekom

Na vielleicht hätte ich doch schon schon ein paar Tage früher über den DNS-Changer schreiben sollen. Aber bei der Euphorie Presse und Bevölkerung dachte ich mir spar ich mir das mal… Wieder ein Fehler! Heute kam dann gleich noch Post von der Telekom hinterher:

Damit wir uns richtig verstehen; Trojaner und insbesondere Botnetze sind eine super lästige Sache! So gesehen finde ich es sehr begrüßenswert wenn Zugangsprovider Ihre Kunden aktiv informieren. Aber in diesem ganz konkreten Fall finde ich das Vorgehen und den Presserummel etwas überzogen…

Warum? – Dann mal der Reihe nach…

Der DNS-Changer selbst – die Schadsoftware selbst ist seit meheren Wochen nicht mehr aktiv. Die benutzten “Rogue DNS-Server” sind ebenfalls “gesichert” und unter Kontrolle. Es geht also eigentlich nur darum das diese Server am 8. März abgeschaltet werden und als Folge davon wird es bei den Leuten die diese DNS-Server verwenden bei der Namensauflösung zu Problemen kommen. Wenn man den Presseberichten glauben kann sprechen wir von ca. 33.000 deutschen Usern die von diesem Problem betroffen sein könnten.

Warum schreibt mir dann die Telekom nen Brief? – Naja, ich bin halt ein durchweg neugieriger Mensch. Als ich die Meldung gelesen habe, wollte ich natürlich auch sofort kucken wie die Website www.dns-ok.de funktioniert. Dazu hab ich mir natürlich nicht nur die Webseite mit dem grünen Balken angesehen, sondern auch die mit dem roten ;-). Ich hatte mir insbesondere angesehen wer die Seite www.dns-ok.de betreibt und wo die Rogue DNS-Server stehen. Als ich die IP-Nummer für den roten Balken von www.dns-ok.de ansurfte habe ich ganz normal ohne Anonymisierung meinen T-DSL Anschluss verwendet. Offenbar wertet dann jemand die Zugriffe auf den roten Balken aus und die “ordentlichen ISPs” verschicken dann gleich noch nen Brief.

Für die Leute die sich noch fragen wie die Unterscheidung zwischen grünem und rotem Balken erfolgt. Die ehemaligen “Rogue DNS-Server” liefern für www.dns-ok.de eine vom regulären DNS-Eintrag abweichende IP-Nummer!

Zunächst eine DNS-Abfrage über meine eigenen DNS-Server für den grünen Balken:

[frank@w0007 ~]$ dig www.dns-ok.de
; <<>> DiG 9.8.1-P1-RedHat-9.8.1-4.P1.fc16 <<>> www.dns-ok.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6340
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0

;; QUESTION SECTION:
;www.dns-ok.de.			IN	A

;; ANSWER SECTION:
www.dns-ok.de.		82347	IN	A	85.214.11.195

;; AUTHORITY SECTION:
dns-ok.de.		82347	IN	NS	nyarlathotep2.hsd.de.
dns-ok.de.		82347	IN	NS	alhazred.hsd.de.
dns-ok.de.		82347	IN	NS	nyarlathotep.hsd.de.

;; Query time: 0 msec
;; SERVER: 192.168.1.45#53(192.168.1.45)
;; WHEN: Sat Jan 14 15:46:31 2012
;; MSG SIZE  rcvd: 129

Und nun die rote Abfrage über einen der betroffenen DNS-Server aus Odessa:

[frank@w0007 ~]$ dig @85.255.112.1 www.dns-ok.de
; <<>> DiG 9.8.1-P1-RedHat-9.8.1-4.P1.fc16 <<>> @85.255.112.1 www.dns-ok.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29511
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;www.dns-ok.de.			IN	A

;; ANSWER SECTION:
www.dns-ok.de.		30	IN	A	85.214.11.194

;; AUTHORITY SECTION:
rpz.dcwg.org.		30	IN	NS	localhost.

;; ADDITIONAL SECTION:
localhost.		3600	IN	A	127.0.0.1

;; Query time: 126 msec
;; SERVER: 85.255.112.1#53(85.255.112.1)
;; WHEN: Sat Jan 14 15:52:51 2012
;; MSG SIZE  rcvd: 98

Warum ist der DNS-Changer Pressehype gefährlich? – Aufklärung und Sensibilisierung sind bei diesem Thema sehr wichtig. Aber zuviel Panikmache und Hysterie ist dann auch wieder nicht sinnvoll. So kann ich nur sagen die nächste Spam, Hoax und Scareware-Welle zu diesem Thema kommt bestimmt. Und gerade BKA und Co wurden in den letzten Monaten schon öfter als Thema benutzt. Die Website http://www.dns-okay.de/ ist ebenfalls eine gute Mahnung an dieser Stelle!

Was hätte man anders machen können? – Ich hätte vermutlich das gemacht was ich im DNS-Normalbetrieb kritisiert hätte. Ich hätte die ehemaligen “Rogue DNS-Server” so konfiguriert das sie für alle DNS-Anfragen immer die gleiche IP-Nummer liefern. Auf dieser IP-Nummer lässt sich dann ein entsprechender Warnhinweis auf einem Webserver anbringen. Klarer Nachteil: das funktioniert nur mit HTTP/HTTPS, alle anderen genutzten Dienste tun erstmal nicht mehr. Aber die 100% richtige Lösung gibts hier wohl nicht…

Hintergrundinfos zum Thema:

Posted on

Der CA-Supergau

Ups, da geht gerade mal der letzte Funke Vertrauenswürdigkeit der kommerziellen IT-Gesellschaft verloren und die breite Masse bekommts noch nicht mal mit :-D…. Wie gibts den sowas?

Ich glaube hier muss man erstmal kurz die Grundlagen klären. Nachdem das WWW erfunden war, ging es in der nächsten Stufe gleich darum, wie kann man sowas fürs Business benutzen? Für Banken bot sich das WWW fürs Online-Banking an, und als Plattform für Online-Shops ist das WWW natürlich auch verlockend. Um zumindest einen gewissen Grad von Sicherheit zu gewährleisten erfand die Firma Netscape damals die erste Version von SSL. SSL wird zum Beispiel bei HTTPS verwendet – wir erinnern uns das war die Geschichte mit diesem kleinen Schloss wenn man im Web-Browser Online-Banking macht.

Der IT-Experte hatte bei dem netten Schlösschen ja schon immer ein ziehen in der Magengegend, seit kurzem kann man dieses Schlösschen aber getrost in die Tonne kippen!

Wir machen am besten mal ein Beispiel und gehen auf die Webseite https://www.bund.de/DE/Home/homepage_node.html. Jeder Web-Browser bietet irgendwo die Möglichkeit sich das Zertifikat für diese Webseite anzusehen. Für www.bund.de sieht das etwa so aus (Text verkürzt):

Certificate Data:
  Version: 3 (0x2)
  Serial Number:
      e9:44:00:01:00:02:e8:5b:37:3c:fb:81:1c:3e
  Signature Algorithm: sha1WithRSAEncryption
  Issuer: C=DE, O=TC TrustCenter GmbH, 
          OU=TC TrustCenter Class 2 L1 CA, 
          CN=TC TrustCenter Class 2 L1 CA XI
  Validity
      Not Before: Mar 24 08:30:02 2011 GMT
      Not After : Jun 22 07:29:44 2014 GMT
  Subject: C=DE, ST=NRW, L=Koeln, O=Bundesverwaltungsamt, 
           OU=BIT B 5, CN=www.bund.de
  Subject Public Key Info:
      Public Key Algorithm: rsaEncryption
          Public-Key: (2048 bit)
  X509v3 extensions:
    X509v3 Authority Key Identifier: 
      keyid:66:B3:C6:91:F9:B6:CD:B2:5F:9A:
            37:56:46:0C:E2:6B:D5:B1:7C:B4
    X509v3 Subject Key Identifier: 
      24:9E:C0:C7:F8:17:EE:47:B3:51:B5:1B:0B:58:8A:54:B7:DC:85:4D
    X509v3 Extended Key Usage: 
        TLS Web Server Authentication, TLS Web Client Authentication
    Netscape Cert Type: 
        SSL Client, SSL Server
    X509v3 Subject Alternative Name: 
        email:it-sicherheit@bva.bund.de, DNS:www.bund.de, 
        DNS:editor.bund.de, DNS:m.bund.de, DNS:bund.de

Wichtig ist für wenn das Zertifikat ausgestellt wurde (Subject) und wer es ausgestellt hat (Issuer). In meinem Beispiel wurde das Zertifikat von der Firma TrustCenter GmbH für das Bundesverwaltungsamt ausgestellt. Den Issuer nennt man auch CA – (Certificate Authority / Zertifizierungsstelle). D.h. die Zertifizierungsstelle ist im Prinzip die Wurzel für die gesamte Vertrauenswürdigkeit dieses Systems. Hihihi, und jetzt kommt die Preisfrage – Was passiert wenn jemand mal eben Vollzugriff auf so eine Zertifizierungsstelle erlangt und beliebige Zertifikate ausstellen kann?

Tja und seit Fukushima sprechen wir ja nur noch von Supergau wenn es gleich an mehreren Stellen knallt und so ist es hier auch:

Das is halt wieder so ein Hacker-Thema? nene, leider nicht! Zumindest in den Niederlanden bebt gerade gewaltig die Erde. Und zwar so heftig (heise.de): Niederländische Regierung übernimmt Kontrolle über DigiNotar.

Tja und weils so schön ist, bei dem Thema ist eben mit Internet-Sicherheit alleine noch lange nicht Schluss. Genau die gleichen Zertifikate, Firmen und Technologien werden zum Beispiel bei folgenden Vorzeigeprojekten ebenfalls eingesetzt:

Ich hatte in einem der letzten Posts geschrieben das vieles in der modernen IT auf Sand gebaut ist. In diesem Fall muss ich mich korrigieren, es ist wohl eher Treibsand!

Posted on

IT-Pannen des Tages

Die IT-Pannen sind in dieser Woche ja schon fast inflationär…

Zuerst stellt Frau Aigner Ihr Vorzeigeprojekt www.lebensmittelklarheit.de vor und das Ding knickt unter der Last gleich mal ein :-). Jetzt um 22:21 ist die Seite immer noch extrem langsam oder es kommen Fehlermeldungen. Was lernen wir daraus? – Wer ein Projekt PR-technisch auf spiegel.de, focus.de und tagesschau.de puscht muss sich im Vorfeld schon sehr umfangreiche Gedanken über die Performance seiner Website machen! Die Union hats ja mit den Stresstests ;-).

Penny.de hatte sich dann offenbar noch spontan zur Veröffentlichung der Kundendatenbank entschlossen: heise.de – Penny.de nach angeblichem Hackerangriff offline. Gibts eigentlich noch einen großen Einzelhandelskonzern der seine Kundendatenbank noch nicht unfreiwillig ins Netz gestellt hat? Wohl falsch verstandenes Cloud Computing

Unsere Bundesregierung ist natürlich immer vorne mit dabei, da reicht eine Panne pro Tag nicht. Deshalb gibts auf www.bundesregierung.de gleich noch eine Sicherheitslücke (siehe das Blog von Nils Juenemann – XSS bei der Bundesregierung). Ich glaub ja langsam die bauen die Sicherheitslücken absichtlich ein, damit das neue Cyber-Abwehrzentrum auch was zu tun hat.

Posted on

Kommentar zur aktuellen IT-Panne beim Zoll

Nachdem der deutsche Qualitätsjournalismus bei dem Thema gerade wieder komplett versagt, kann ich mir einen eigenen Kommentar nicht verkneifen.

Zunächst mal zum allgemeinen Teil, im Focus Artikel Angriff auf Zoll-Computer — Hacker überlisten Antiviren-Software wird ein “hoher Sicherheitsbeamter” wie folgt zitiert:

Das ist so ziemlich das Schlimmste, was passieren konnte

hmm, also mal ehrlich! Wenn man sich das mal genau überlegt sind die Auswirkungen aus meiner Sicht doch eher mit das Beste was der betroffenen Behörde passieren konnte. Was wäre passiert wenn das Wissen über diese Sicherheitslücke an “echte Kriminelle” verkauft worden wäre? Was würde eine Terror-Organisation wohl dafür bezahlen? Oder die Mafia? Oder “die Hacker aus China”?

Dann mal weiter mit den technischen Details die man in der Presse lesen konnte. Bei XAMPP von Billig-Software zu sprechen ist schon mal nicht gerechtfertigt, richtig ist das die Software für diesen Einsatzzweck nicht gedacht ist. Mit Antiviren-Software hat XAMPP nun aber überhaupt nicht zu tun. Witzig ist ja noch das ausgerechnet 42 Trojaner auf den Festplatten gefunden wurden.

Die IT-Panne zeigt aber nicht zuletzt mit wieviel heisser Luft die kollektive Terror-/Cyberwar-Panik geführt wird! Es sollen ja schon die ersten Hacker identifiziert sein, da werden uns in den nächsten Tagen bestimmt ein paar 16-jährige Script-Kiddies vorgeführt werden. Und für die brauchen wir dann ein Terror- und ein Cyber-Abwehrzentrum mit BKA, BND und tralla?

Man sieht hier schon das unsere Bundesbehörden auch nur mit Wasser kochen, und manchmal ist das Wasser halt nur lauwarm. Viel interessanter wären eigentlich folgende Fragen:

  • Warum hängt so ein Server eigentlich direkt im Internet?
  • Wenn der Server schon im Internet hängt, warum prüft dann niemand in der Behörde ob evtl. mehr Dienste nach aussen zugänglich sind als eigentlich erforderlich (sowas lässt sich automatisieren)?
  • Die PATRAS-Server sind vermutlich nur die Spitze des Eisbergs. Nachdem die Angreifer Zugang zu den Servern hatten, konnten sie diese als Sprungbrett für weitere Angriffe benutzen. Z.B. auf interne Systeme ohne direkte Internetanbindung. Und die internen Systeme sind erfahrungsgemäß noch schlechter geschützt als die externen 🙂 Wo hatten die Angreifer als noch Zugang?

Falls sich jemand jetzt noch frägt wie die Angreifer überhaupt die PATRAS-Server gefunden haben. Dies war vermutlich einfacher als der IT-Laie es sich vorstellen kann. Ich hatte es hier ja schon ein paar mal von IP-Nummern (Wie funktioniert DNS? / Wo steht der Server?). Diese IP-Nummern werden meist in fortlaufenden nummerierten Blöcken vergeben. Ein 16-jähriger Schüler mit etwas zuviel Zeit und Spieltrieb kann mit der WHOIS Datenbank interessante IP-Nummern Blöcke (Net-Blocks) ermitteln. Diesen Block von IP-Nummern kann man anschließend automatisiert auf die dort installierten Dienste scannen. Eine Installation wie XAMPP ohne Absicherung fällt spätestens auf dieser Stufe auf. Verantwortungsvolle Unternehmen machen übrigens solche Scans ihrer IP-Nummern regelmäßig oder beauftragen externe Dienstleister dafür. Hat man solch ein System dann erstmal gefunden ist der eigentliche Angriff mit etwas Kreativität und mit google.de keine grosse Sache mehr.

Was bleibt als Fazit von dieser IT-Panne? Merkt Euch diese IT-Panne für den Fall das Euch ein Politiker erzählen will die IT-Systeme der Regierung wären sicher und nicht zu knacken! Das war jetzt ein IT-System von Strafverfolgungsbehörden die ein direktes Interesse daran haben das ihre Daten geheim bleiben. Wie gut sind dann wohl die Server von anderen Behörden geschützt die noch viel weniger Budget und Interesse für Sicherheit haben?

Posted on

Computer Insecurity – Der Plugin-Update-Krieg Teil 1

Endlich mal wieder ein Blog-Post von mir. Wahlkampf ist zu Ende jetzt wird es etwas technischer… Aber wir können ja noch kurz bei der Politik bleiben. Gestern war der IT-Gipfel in Stuttgart – mein kurzer Kommentar: viel heisse Luft und Worthülsen! Ein paar Links dazu:

Ich bin da sehr skeptisch was den Erfolg der Provider und des BSI im Kampf gegen Bot-Netze angeht. Aber so kommen wir gleich zum Thema dieses Posts! Kuckt man sich die Verbreitungswege von Viren und Trojaner an, stellt man schnell fest das diese meist über unsichere Programme auf den Computer gelangen. Am meisten betroffen sind natürlich Programme die direkt oder indirekt Daten aus dem Internet verarbeiten, also Web-Browser, Mail-Programme und Programme die über Plug-Ins an diesen angeschlossen sind wie z.B. der Acrobat Reader. Unsicher bedeutet in diesem Fall das diese Programme Sicherheitslücken enthalten.

Auf einem modernen PC sind in der Regel zahlreiche Zusatzprogramme und Plug-Ins installiert, sprich wenn es blöd läuft gibt es gleich mehrmals in der Woche Programme bei denen Sicherheitslücken entdeckt wurden und nun schnellstens ein Update durchgeführt werden müsste. Deshalb die Überschrift mit Update-Krieg 😀

Heute ganz aktuelle betroffen ist der Adobe Flash Player, eines der Plug-Ins für den Web-Browser das eigentlich fast jeder installiert hat. Etwas mehr Details zum aktuellen Fall enthält die Sicherheitswarnung des Herstellers Adobe: Security updates available for Adobe Flash Player. Welche Version des Flash Player auf einem Computer installiert ist lässt sich über folgenden Link leicht ermitteln: http://www.adobe.com/software/flash/about/. Die Text-Box in der Mitte der Seite enthält die Versions-Nummer:

flash-ver01

Wenn da also eine Version 10.0.32.18 oder noch kleiner steht sollte man eigentlich möglichst schnell die aktuelle Version vom Flash Player Download Center installieren.

Mein letzter Tipp im Kampf gegen Bot-Netze ist der Update-Check von heise Security, hier wird eine Vielzahl von gefährdeten Programme auf ihre Aktualität geprüft. Den Update-Check und Infos dazu findet man hier: Update-Check von heise Security.